Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)

 

シンタックスの説明

 

デフォルト

このコマンドにデフォルト設定はありません。

 

コマンド履歴

 

使用上のガイドライン

パケットのキャプチャに加え、パケットが予想どおりに動作しているかどうか確認するために、セキュリティ アプライアンスを通してパケットの寿命をトレースすることができます。 packet-tracer コマンドを使用すると、次の処理を実行できます。

• 実稼働ネットワークのすべてのパケット ドロップをデバッグする。

• 設定が目的どおりに動作しているかどうかを確認する。

• ルールの追加の原因となった CLI 行に沿ってパケットに適用されるすべてのルールを表示する。

• データ パスにパケット変更のタイム ラインを表示する。

• トレーサー パケットをデータ パスに挿入する。

packet-tracer コマンドはパケットと、パケットがセキュリティ アプライアンスによりどのように処理されたかを示す詳細情報を提供します。このコンフィギュレーションからのコマンドによりパケットがドロップしないインスタンスでは、 packet-tracer コマンドはその原因に関する情報を簡単に読み取れる方法で提供します。たとえば、無効なヘッダー確認が原因でパケットがドロップした場合、「不正な IP ヘッダーによりパケットがドロップしました（原因）」というメッセージが表示されます。

例

内部ホスト 10.2.25.3 から詳細情報を持つ外部ホスト 209.165.202.158 に対するパケット トレースをイネーブルにするには、次のように入力します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのページ スタイルは、background-color:white;font-family:Arial,Helv,sans-serif です。

 

コマンド履歴

 

使用上のガイドライン

style オプションは、有効な Cascading Style Sheet（CSS）パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium（W3C）の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）について 0 ～ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。

例

次の例では、ページ スタイルを large にカスタマイズします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは 24 行です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドにより、Telnet セッションでのデフォルトの pager line 設定を変更します。現行セッションに対してのみ一時的に設定を変更する場合は、 terminal pager コマンドを使用します。

管理コンテキストに Telnet 接続する場合、ある特定のコンテキスト内の pager コマンドに異なる設定があっても、他のコンテキストに移ったときには、pager line 設定はユーザのセッションに従います。現在の pager 設定を変更するには、新しい設定で terminal pager コマンドを入力するか、 pager コマンドを現在のコンテキストで入力します。 pager コマンドは、コンテキスト コンフィギュレーションに新しい pager 設定を保存する以外に、新しい設定を現在の Telnet セッションに適用します。

例

次の例では、表示される行数を 20 に変更します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュラ ポリシー フレームワークを利用すると、数多くのアプリケーション検査のための特別なアクションを設定できます。 inspect コマンドを使用して、レイヤ 3/4 ポリシー マップ（ policy-map コマンド）で検査エンジンをイネーブルにする場合は、 policy-map type inspect コマンドで作成した検査ポリシー マップで定義するアクションをイネーブルにすることもできます。たとえば、 inspect dns dns_policy_map コマンドを入力します。dns_policy_map は、検査ポリシー マップの名前です。

検査ポリシー マップは 1 つまたは複数の parameters コマンドをサポートできます。パラメータは検査エンジンの動作に影響します。パラメータ コンフィギュレーション モードで使用できるコマンドは、アプリケーションによって異なります。

例

次の例では、デフォルトの検査ポリシー マップ内に DNS パケットの最大メッセージ長を設定する方法を示します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルト動作では、デバイスは VPN ロードバランシング クラスタに参加しません。

 

コマンド履歴

 

使用上のガイドライン

VPN ロードバランシング モードに入るには、 interface コマンドおよび nameif コマンドを使用してインターフェイスを設定してから、 vpn load-balancing コマンドを使用する必要があります。また、事前に cluster ip コマンドを使用してクラスタの IP アドレスを設定し、仮想クラスタの IP アドレスが参照するインターフェイスを設定する必要があります。

このコマンドは、このデバイスを仮想ロードバランシング クラスタに強制的に参加させます。デバイスの参加をイネーブルにするには、このコマンドを明示的に発行する必要があります。

1 つのクラスタに参加しているすべてのデバイスの IP アドレス、暗号化設定、暗号キー、およびポートの値は、クラスタ固有の同一の値である必要があります。

（注） 暗号化を使用する場合は、事前に isakmp enable inside コマンドを設定する必要があります。inside には、ロードバランシング内部インターフェイスを指定します。ロードバランシング内部インターフェイス上で isakmp がイネーブルになっていないと、クラスタ暗号化の設定を試みたときにエラー メッセージが表示されます。

cluster encryption コマンドを設定したときには isakmp がイネーブルであっても、participate コマンドを設定する前にディセーブルになった場合は、participate コマンドの入力時にエラー メッセージが表示され、そのローカル デバイスはクラスタに参加しません。

例

次に、VPN ロードバランシング コマンド シーケンスの例を示します。これには、現在のデバイスが VPN ロードバランシング クラスタに参加できるようにする participate コマンドが含まれています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

すべてのインターフェイスは RIP がイネーブルの場合にアクティブ RIP に対してイネーブルになります。

インターフェイスまたは default キーワードが指定されていない場合、コマンドは default がデフォルト設定となり、passive-interface default としてコンフィギュレーションに表示されます。

 

コマンド履歴

 

使用上のガイドライン

パッシブ RIP をインターフェイスでイネーブルにします。インターフェイスは RIP ルーティング ブロードキャストを受信し、その情報を使用してルーティング テーブルに値を挿入しますが、ルーティング アップデートをブロードキャストしません。

例

次の例では、外部インターフェイスをパッシブ RIP に設定します。セキュリティ アプライアンスの他のインターフェイスは RIP アップデートを送受信します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト パスワードは「cisco」です。

 

コマンド履歴

 

使用上のガイドライン

このログイン パスワードはデフォルト ユーザ用です。 aaa authentication console コマンドを使用して、Telnet または SSH のユーザごとに CLI 認証を設定した場合、このパスワードは使用されません。

例

次の例では、パスワードを Pa$$w0rd に設定します。

次の例では、別のセキュリティ アプライアンスからコピーした、暗号化されたパスワードをパスワードに設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、パスワードを含めない設定になっています。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用すると、実際の証明書登録を開始する前に、証明書の失効パスワードを指定できます。指定したパスワードは、アップデートされたコンフィギュレーションがセキュリティ アプライアンスによって NVRAM に書き込まれるときに暗号化されます。

このコマンドがイネーブルになっていない場合、証明書登録中にパスワードの入力は求められません。

例

次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入り、CA に登録するチャレンジ フレーズをトラストポイント central の登録要求に含めています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドを指定しない場合、パスワード管理は行われません。 password-expire-in-days キーワードを指定しない場合、警告が開始されてから現行のパスワードが期限切れとなるまでのデフォルトの期間は 14 日間です。

 

コマンド履歴

 

使用上のガイドライン

このアトリビュートは、IPSec リモート アクセスおよび WebVPN トンネル グループに設定できます。

このコマンドを設定すると、ログイン時にセキュリティ アプライアンスはリモート ユーザに、ユーザの現行のパスワードの期限が切れようとしている、またはパスワードが失効したということを通知します。ここでユーザは、セキュリティ アプライアンスにより、パスワードを変更する機会が与えられます。現行のパスワードがまだ失効していない場合、ユーザはそのパスワードを使用してログインできます。このコマンドは、このような通知をサポートする AAA サーバ（つまり、RADIUS サーバ、NT サーバを使用する RADIUS サーバ、および LDAP サーバ）に有効です。RADIUS または LDAP 認証が設定されていない場合、このコマンドはセキュリティ アプライアンスで無視されます。

このコマンドは、パスワードの期限が切れるまでの日数を変更するものではなく、セキュリティ アプライアンスがユーザにパスワードの期限が切れようとしているという警告を発した日から期限切れの日までの日数を変更するものであることに注意してください。

password-expire-in-days キーワードを指定する場合は、この日数も指定する必要があります。

この日数を 0 に設定してこのコマンドを指定すると、このコマンドはディセーブルになります。セキュリティ アプライアンスは、期限が迫っていることをユーザに通知しませんが、期限が切れた後で、ユーザはパスワードを変更できます。

例

次の例では、WebVPN トンネル グループ「testgroup」のパスワードの期限が切れる 90 日前になるとユーザに警告を開始するように設定します。

次の例では、デフォルト値を使用して IPSec リモート アクセス トンネル グループ「QAgroup」のユーザにパスワードの期限が切れる 14 日前から警告を開始するようにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスの WebVPN サーバは、認証 Web サーバに対してシングル サインオン認証要求を送信するために HTTP POST 要求を使用します。必要とされるコマンド
password-parameter は、この POST 要求が SSO 認証用のユーザ パスワード パラメータを含める必要があることを指定します。

（注） ユーザはログイン時に、実際のパスワード値を入力します。このパスワードは POST 要求に入力されて認証 Web サーバに渡されます。

例

次の例では、AAA サーバ ホスト コンフィギュレーション モードで user_password という名前のパスワード パラメータを指定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

パスワード プロンプトのデフォルトのテキストは「PASSWORD:」です。

パスワード プロンプトのデフォルトのスタイルは、color:black;font-weight:bold;text-align:right です。

 

コマンド履歴

 

使用上のガイドライン

style オプションは、有効な Cascading Style Sheet（CSS）パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium（W3C）の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）について 0 ～ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。

例

次の例では、テキストを「Corporate Password:」に変更し、デフォルト スタイルのフォント ウェイトを bolder に変更しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

パスワードの保存はディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

セキュアなサイトにあることが判明しているシステムに限り、パスワードの保存をイネーブルにしてください。

このコマンドは、対話型ハードウェア クライアント認証またはハードウェア クライアントの個別ユーザ認証とは関係ありません。

例

次の例は、FirstGroup というグループ ポリシーのパスワードの保存をイネーブルにする方法を示しています。

 

シンタックスの説明

 

デフォルト

デフォルトでは、このコマンドの設定は req です。

 

コマンド履歴

 

使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

例

config-ipsec コンフィギュレーション モードで入力された次の例は、209.165.200.225 という名前の IPSec LAN-to-LAN トンネル グループのピアの証明書のアイデンティティを使用してのピアの確認を要求します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

seconds は 120 秒です。

 

コマンド履歴

 

使用上のガイドライン

perfmon コマンドを使用すると、セキュリティ アプライアンスのパフォーマンスを監視できます。情報をすぐに表示するには、show perfmon コマンドを使用します。情報を 2 分間隔で表示し続けるには、perfmon verbose コマンドを使用します。指定した秒間隔で情報を表示し続けるには、perfmon interval seconds コマンドと perfmon verbose コマンドを併用します。

パフォーマンス情報は次のように表示されます。

この情報では、変換、接続、Websense 要求、アドレス変換（「フィックスアップ」と呼ばれる）、および AAA トランザクションについて、毎秒発生する数が表示されます。

例

次の例は、パフォーマンス モニタ統計情報を 30 秒間隔でセキュリティ アプライアンス コンソールに表示する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

periodic コマンドに値が入力されていない場合、 time-range コマンドによる定義に従ったセキュリティ アプライアンスへのアクセスがすぐに有効になり、常時オンとなります。

 

コマンド履歴

 

使用上のガイドライン

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。その後、 access-list extended time-range コマンドを使用して、時間範囲を ACL にバインドします。

periodic コマンドは、時間範囲をいつ有効にするかを指定する方法の 1 つです。別の方法は、 absolute コマンドを使用して絶対時間範囲を指定する方法です。これらのコマンドのいずれかを、 time-range グローバル コンフィギュレーション コマンドの後に使用します。このコマンドは、時間範囲の名前を指定します。 time-range コマンドあたり複数の periodic 値を入力できます。

終了の days-of-the-week 値が開始の days-of-the-week 値と同じである場合は、終了の days-of-the-week 値を省略できます。

time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、 periodic コマンドは absolute start 時刻に達した後にだけ評価され、 absolute end 時刻に達した後はそれ以上評価されません。

time-range 機能はセキュリティ アプライアンスのシステム クロックに依存しています。しかし、この機能は、NTP 同期化により最適に動作します。

例

次にいくつかの例を示します。

次の例は、月曜日から金曜日の午前 8 時～午後 6 時にセキュリティ アプライアンスにアクセスすることを許可する方法を示しています。

次の例は、特定の曜日（月曜日、火曜日、および金曜日）の午前 10 時 30 分～午後 12 時 30 分にセキュリティ アプライアンスにアクセスすることを許可する方法を示しています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトでは、無効なパケットまたは解析中に失敗したパケットは、すべてドロップされます。

 

コマンド履歴

 

使用上のガイドライン

無効なパケット、またはセキュリティ アプライアンスを通じて送信されるメッセージの検査中にエラーが発生したパケットを許可し、それらがドロップされないようにするには、GTP マップ コンフィギュレーション モードで permit errors コマンドを使用します。

例

次の例では、無効なパケットまたは解析中に失敗したパケットが含まれたトラフィックを許可します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、セキュリティ アプライアンスは、要求送信先のホスト以外の GSN からの GTP 応答をドロップします。

 

コマンド履歴

 

使用上のガイドライン

ロードバランシング GSN をサポートするには、GTP マップ コンフィギュレーション モードで permit response コマンドを使用します。 permit response コマンドを使用して、応答の送信先であった GSN とは異なる GSN からの、GTP 応答を許可するように GTP マップを設定します。

ロードバランシング GSN のプールをネットワーク オブジェクトとして指定します。同様に、SGSN をネットワーク オブジェクトとして指定します。応答する GSN が、GTP 要求の送信先であった GSN と同じオブジェクト グループに属する場合、また応答する GSN が GTP 応答を送信できるオブジェクト グループに SGSN がある場合、セキュリティ アプライアンスはその応答を許可します。

例

次の例では、192.168.32.0 ネットワーク上の任意のホストから IP アドレス 192.168.112.57 を持つホストへの GTP 応答を許可します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

PFS はディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

PFS 設定は、VPN クライアントとセキュリティ アプライアンスで一致している必要があります。

例

次の例は、FirstGroup というグループ ポリシーの PFS を設定する方法を示しています。

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

multicast-routing コマンドは、デフォルトではすべてのインターフェイスの PIM をイネーブルにします。

 

コマンド履歴

 

使用上のガイドライン

multicast-routing コマンドは、デフォルトではすべてのインターフェイスの PIM をイネーブルにします。 no 形式の pim コマンドだけがコンフィギュレーションに保存されます。

（注） PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。

例

次の例では、選択したインターフェイス上の PIM をディセーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

非認証の送信元が RP に登録されないようにするには、このコマンドを使用します。非認証の送信元が RP に登録メッセージを送信すると、セキュリティ アプライアンスはただちに登録中止メッセージを送信します。

例

次の例では、PIM 登録メッセージを、「no-ssm-range」というアクセス リストに定義されている送信元からのものに制限します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

すべてのルータは双方向対応であると判断されます。

 

コマンド履歴

 

使用上のガイドライン

双方向 PIM を使用すると、マルチキャスト ルータでは、情報を縮小して保持できます。セグメント内のすべてのマルチキャスト ルータは、bidir で DF を選定できるよう双方向にイネーブルになっていなければなりません。

pim bidir-neighbor-filter コマンドを使用すると、希薄モード専用ネットワークから双方向ネットワークへの移行が可能になります。この場合、すべてのルータの希薄モード ドメインへの参加を許可しながら、DF 選定へ参加しなければならないルータを指定します。双方向対応のルータは、セグメントに双方向非対応のルータがある場合でも、ルータの中から DF を選定できます。双方向非対応のルータのマルチキャスト境界は、双方向対応のグループからの PIM メッセージとデータが、双方向対応のサブセット クラウド内外に漏れることを防ぎます。

pim bidir-neighbor-filter コマンドがイネーブルになっていると、ACL により許可されているルータは双方向対応であると考えられます。したがって、次のような結果になります。

• 許可されたネイバーが双方向に対応しない場合、DF 選定は発生しません。

• 拒否されたネイバーが双方向に対応する場合、DF 選定は発生しません。

• 拒否されたネイバーが双方向に対応しない場合、DF 選定が発生します。

例

次の例では、10.1.1.1 が PIM 双方向対応ネイバーになります。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト値は 1 です。

 

コマンド履歴

 

使用上のガイドライン

インターフェイス上の優先順位値が最も大きいデバイスが、PIM 指定ルータになります。複数のデバイスで同じ指定ルータ優先順位値が設定されている場合、IP アドレスが最大のデバイスが指定ルータになります。デバイスの hello メッセージに DR-Priority Option（指定ルータ優先順位オプション）が含まれていない場合は、そのデバイスが最も優先順位の高いデバイスであると見なされ、指定ルータになります。hello メッセージにこのオプションが含まれていないデバイスが複数ある場合は、最大の IP アドレスを持つデバイスが指定ルータになります。

例

次の例は、インターフェイスの指定ルータ優先順位を 5 に設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

30 秒。

 

コマンド履歴

例

次の例では、PIM hello 間隔を 1 分に設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

60 秒

 

コマンド履歴

例

次の例では、PIM join/prune 間隔を 2 分に設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、どのネイバー ルータが PIM に参加できるかを定義します。このコマンドがコンフィギュレーションに含まれていない場合、制限はありません。

このコマンドをコンフィギュレーション内に表示するには、マルチキャスト ルーティングと PIM がイネーブルでなければなりません。マルチキャスト ルーティングをディセーブルにすると、このコマンドはコンフィギュレーションから削除されます。

例

次の例では、IP アドレス 10.1.1.1 のルータが、GigabitEthernet0/2 インターフェイスで PIM ネイバーになるのを禁止します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

セキュリティ アプライアンスは、PIM RFC 準拠の登録を生成します。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンス ソフトウェアは、Cisco IOS 方式を使用せずに、PIM ヘッダー上のチェックサムを持つ登録メッセージと、それに続く 4 バイトだけを受け入れます。つまり、登録メッセージをすべての PIM メッセージ タイプ用の PIM メッセージ全体と共に受け入れます。 pim old-register-checksum コマンドは、Cisco IOS ソフトウェアと互換性のある登録を生成します。

例

次の例では、古いチェックサム計算を使用するようにセキュリティ アプライアンスを設定します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

PIM RP アドレスは設定されていません。

 

コマンド履歴

 

使用上のガイドライン

共通の PIM 希薄モード（PIM-SM）または双方向ドメイン内にあるすべてのルータは、周知の PIM RP アドレスの情報を必要とします。アドレスは、このコマンドを使用してスタティックに設定します。

（注） セキュリティ アプライアンスは、Auto-RP をサポートしていません。したがって、pim rp-address コマンドを使用して、RP アドレスを指定する必要があります。

1 つの RP で複数のグループが処理されるように設定できます。アクセス リストで指定されているグループ範囲により、PIM RP グループ マッピングが決まります。アクセス リストが指定されていない場合、グループの RP は、IP マルチキャスト グループ範囲全体（224.0.0.0/4）に適用されます。

（注） セキュリティ アプライアンスは、実際の双方向コンフィギュレーションにかかわらず、常に、双方向機能を PIM hello メッセージ内でアドバタイズします。

例

次の例では、すべてのマルチキャスト グループの PIM RP アドレスに 10.0.0.1 を設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、最後のホップ PIM ルータは最短パス送信元ツリーに切り替えます。

 

コマンド履歴

 

使用上のガイドライン

group-list キーワードを使用しない場合、このコマンドはすべてのマルチキャスト グループに適用されます。

例

次の例では、最短パス送信元ツリーに切り替えるのではなく、常に共有ツリーを使用するように最後のホップ PIM ルータを設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ping コマンドでは、セキュリティ アプライアンスに接続できるかどうか、またはホストがネットワークで利用可能であるかどうかが判断できます。セキュリティ アプライアンスに接続できる場合は、 icmp permit any interface コマンドが設定されていることを確認します。このコンフィギュレーションは、 ping コマンドで生成されたメッセージの応答および受け入れをセキュリティ アプライアンスに許可するために必要です。 ping コマンドの出力には、応答が受信されたかどうかが示されます。 ping コマンドを入力したとき、ホストが応答していない場合は、次のようなメッセージが表示されます。

セキュリティ アプライアンスがネットワークに接続されていること、およびトラフィックの受け渡しを実行していることを確認するには、 show interface コマンドを使用します。指定した if_name のアドレスは ping の送信元アドレスとして使用されます。

内部ホストから外部ホストに ping を送信する場合は、次のいずれかを実行する必要があります。

• エコー応答用の ICMP access-list コマンドを作成します。たとえば、ping アクセスをすべてのホストに許可するには、 access-list acl_grp permit icmp any any コマンドを使用します。 access-group コマンドを使用して、テストの対象であるインターフェイスに access-list コマンドをバインドします。

• inspect icmp コマンドを使用して、ICMP 検査エンジンを設定します。たとえば、 inspect icmp コマンドをグローバル サービス ポリシーの class default_inspection クラスに追加すると、内部ホストによって開始されたエコー要求に対して、セキュリティ アプライアンスを経由したエコー応答が許可されます。

拡張 ping を実行することもできます。拡張 ping では、キーワードを一度に 1 行ずつ入力できます。

ホスト間またはルータ間でセキュリティ アプライアンスを介して ping を実行するが、ping が成功しない場合は、capture コマンドを使用して ping の成功を監視できます。

セキュリティ アプライアンス ping コマンドでは、インターフェイス名は必須ではありません。インターフェイス名が指定されていない場合、セキュリティ アプライアンスは、ルーティング テーブルをチェックして指定されたアドレスを検索します。インターフェイス名を指定して、ICMP エコー要求が送信されるときに経由するインターフェイスを指示できます。

例

次の例は、他の IP アドレスがセキュリティ アプライアンスから可視であるかどうかを判断する方法を示しています。

次の例は、DNS 名を使用するホストを指定します。

次に、拡張 ping の例を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や変数はありません。

 

コマンド履歴

 

使用上のガイドライン

police コマンドを発行する前に、 policy-map コマンドと class コマンドを設定しておく必要があります。

（注） police コマンドは、最大速度および最大バースト レートを強制し、それらの値を適合レート値に強制的に合せるだけです。conform-action または exceed-action の指定は、存在する場合でも適用されません。

優先順位とポリシングを、両方ともイネーブルにすることはできません。

既存の VPN クライアント トラフィック、LAN-to-LAN トラフィック、または非トンネル トラフィックが確立されているインターフェイスを対象として、サービス ポリシーを適用または削除した場合、QoS ポリシーは適用されず、トラフィック ストリームから削除されません。このような接続を対象として QoS ポリシーを適用または削除するには、接続を消去（ドロップ）して再確立する必要があります。

例

次に、出力方向の police コマンドの例を示します。適合レート 100,000 ビット/秒、バースト値 2,000,000 バイトを設定し、バースト レートを超過したトラフィックをドロップすることを指定しています。

次の例では、内部 Web サーバ宛のトラフィックに対してレート制限を設定する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト設定は cdp です。

 

コマンド履歴

例

次の例では、ca-crl コンフィギュレーション モードに入り、チェック中の証明書内の CRL 配布ポイントを使用して CRL 取得を実行すること、それに失敗した場合は、スタティック CRL 配布ポイントを使用することを設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. （アプリケーション検査のみ） policy-map type inspect コマンドを使用して、アプリケーション検査トラフィックのための特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

ポリシー マップの最大数は 64 です。レイヤ 3/4 ポリシー マップ内の複数のレイヤ 3/4 クラス マップを指定でき（ class コマンドを参照）、各クラス マップに 1 つまたは複数の機能タイプから複数のアクションを割り当てることができます。

パケットは、各機能タイプのポリシー マップ内にある 1 つのクラス マップだけに一致します。パケットがある機能タイプのクラス マップと一致すると、セキュリティ アプライアンスはそのクラス マップを、その機能タイプの後続のクラス マップと照合しません。パケットが別の機能タイプの後続のクラス マップと一致すると、セキュリティ アプライアンスはそのクラス マップのアクションも適用します。たとえば、パケットが接続制限のクラス マップと一致し、アプリケーション検査のクラス マップにも一致する場合、両方のクラス マップのアクションが適用されます。パケットがアプリケーション検査のクラス マップと一致するが、アプリケーション検査の別のクラス マップとも一致する場合、2 番目のクラス マップのアクションは適用されません。

アクションは、機能に応じて双方向または単方向のトラフィックに適用されます。双方向に適用される機能については、トラフィックが双方向のクラス マップに一致する場合、ポリシー マップの適用先であるインターフェイスに入る、または出るすべてのトラフィックに影響します。

（注） グローバル ポリシーを使用する場合、すべての機能は単方向です。1 つのインターフェイスに適用されるときに通常は双方向である機能は、グローバルに適用される際には各インターフェイスの入力にのみ適用されます。ポリシーはすべてのインターフェイスに適用されるため、ポリシーは双方向に適用されます。この場合の双方向性は冗長になります。

QoS など単方向に適用される機能の場合、ポリシーが適用されるインターフェイスを出るトラフィックのみ影響を受けます。各機能の方向性については、 表22-1 を参照してください。

ポリシー マップ内の各種アクションが実行される順序は、そのポリシー マップ内にアクションが出現する順序とは関係ありません。アクションは次の順序で実行されます。

• TCP 正規化、TCP 接続と UDP 接続の制限およびタイムアウト、TCP シーケンス番号のランダム化

（注） セキュリティ アプライアンスがプロキシ サービス（AAA または CSC など）を実行する場合、または TCP ペイロード（FTP 検査など）を修正する場合、TCP ノーマライザはデュアル モードで動作します。このモードでは、ノーマライザはプロキシまたはペイロードの修正サービスの前後に適用されます。

• CSC

• アプリケーション検査

• IPS

• QoS ポリシング

• QoS プライオリティ キュー

各インターフェイスに割り当てられるポリシー マップは 1 つだけですが、複数のインターフェイスに同じポリシー マップを割り当てることができます。

コンフィギュレーションには、セキュリティ アプライアンスがデフォルトのグローバル ポリシーで使用するデフォルトのレイヤ 3/4 ポリシー マップが含まれています。このマップは global_policy と呼ばれ、デフォルトの検査トラフィックで検査を実行します。適用できるグローバル ポリシーは 1 つのみです。このため、グローバル ポリシーの内容を変更する場合は、デフォルトのポリシーを編集するか、ディセーブルにして新しいものを適用する必要があります。

デフォルトのポリシー マップ コンフィギュレーションには、次のコマンドが含まれています。

例

次に、接続ポリシーに対する policy-map コマンドの例を示します。ここでは、Web サーバ 10.1.1.1 にアクセスできる接続の数を制限しています。

次の例では、ポリシー マップで複数一致がどのように機能するかを示しています。

次の例では、使用可能な最初のクラス マップにトラフィックが一致し、同じ機能ドメインのアクションを指定している以降のどのクラス マップにも一致しない様子を示しています。

Telnet 接続が開始されると、 class telnet_traffic と照合されます。同様に、FTP 接続が開始されると、 class ftp_traffic と照合されます。Telnet と FTP 以外の TCP 接続の場合は、 class tcp_traffic と照合されます。Telnet または FTP 接続が class tcp_traffic と一致する可能性があったとしても、すでに他のクラスと一致しているので、セキュリティ アプライアンスはこの照合を行いません。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュラ ポリシー フレームワークを利用すると、数多くのアプリケーション検査のための特別なアクションを設定できます。 inspect コマンドを使用して、レイヤ 3/4 ポリシー マップ（ policy-map コマンド）で検査エンジンをイネーブルにする場合は、 policy-map type inspect コマンドで作成した検査ポリシー マップで定義するアクションをイネーブルにすることもできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、検査ポリシー マップの名前です。

検査ポリシー マップは、ポリシー マップ コンフィギュレーション モードに入力された次のコマンドのうち 1 つまたは複数のコマンドで構成されます。検査ポリシー マップで使用できるコマンド自体は、アプリケーションによって異なります。

• match コマンド： match コマンドを直接検査ポリシー マップに定義できます。そうすることで、アプリケーション トラフィックを、URL 文字列などのこのアプリケーションに特有の基準と照合します。次に、一致コンフィギュレーション モードで drop 、 reset 、 log などのアクションをイネーブルにします。使用可能な match コマンドは、アプリケーションにより異なります。

• class コマンド：このコマンドは、ポリシー マップで検査クラス マップを特定します（検査クラス マップを作成する class-map type inspect コマンドを参照）。検査クラス マップには、URL 文字列などの、アプリケーション特有の基準によってアプリケーションのトラフィックを照合する複数の match コマンドが含まれます。それに応じて、ポリシー マップでアクションをイネーブルにします。クラス マップを作成することと、検査ポリシー マップに直接 match コマンドを使用することの違いは、複数の照合結果をグループ化できることと、クラス マップを再利用できることです。

• parameters コマンド：パラメータは、検査エンジンの動作に影響を与えます。パラメータ コンフィギュレーション モードで使用できるコマンドは、アプリケーションによって異なります。

ポリシー マップには複数の class コマンドまたは match コマンドを指定できます。

一部の match コマンドでは、パケット内のテキストに一致する正規表現を指定できます。複数の正規表現をグループ化する方法については、 regex コマンドと class-map type regex コマンドを参照してください。

デフォルトの検査ポリシー マップ コンフィギュレーションには、DNS パケットのメッセージの最大長を 512 バイトに設定する次のコマンドが含まれます。

1 つのパケットで複数の異なる match コマンドまたは class コマンドが一致する場合、セキュリティ アプライアンスがアクションを適用する順番はセキュリティ アプライアンスの内部規則で決定されます。ポリシー マップに追加される順番ではありません。内部規則は、アプリケーションのタイプと、パケット解析の論理的な進行状況によって決定されます。ユーザは設定できません。たとえば、HTTP トラフィックの場合、Request Method フィールドは Header Host Length フィールドよりも先に解析されます。Request Method フィールドのアクションは Header Host Length フィールドのアクションの前に実行されます。たとえば、次の match コマンドは任意の順番で入力できますが、 match request method get コマンドが最初に照合されます。

あるアクションがパケットをドロップすると、他のアクションは実行されません。たとえば、最初のアクションが接続のリセットである場合は、それ以降のどの match コマンドも照合されません。最初のアクションがパケットのロギングである場合は、接続のリセットなどの 2 番目のアクションが発生する可能性があります（同じ match コマンドに対して、 reset （または drop-connection など）と log アクションを両方設定でできます。その場合、パケットは、指定の照合についてリセットされる前に記録されます）。

パケットが同一の複数の match コマンドまたは class コマンドと一致する場合、ポリシー マップに出現する順番で一致します。たとえば、ヘッダーの長さが 1001 のパケットの場合、その下にある最初のコマンドに一致し、記録され、次に 2 番目のコマンドと一致し、リセットされます。この 2 つの match コマンドの順番を逆にした場合、パケットはドロップされ、接続が 2 番目の match コマンドと一致する前にリセットされます。このパケットは記録されません。

あるクラス マップが別のクラス マップ、またはクラス マップ内で優先度の最も低い match コマンドに基づいた match コマンドと同じタイプであると判断されます（優先度は内部規則に基づきます）。クラス マップが他のクラス マップと同じ優先度の最も低いタイプの match コマンドである場合、このクラス マップはポリシー マップに追加される順番に従って照合されます。各クラス マップの優先度の最も低いコマンドが異なる場合、優先度の高い match コマンドを持つクラス マップが最初に照合されます。

例

次に、HTTP 検査ポリシー マップと関連するクラス マップの例を示します。このポリシー マップは、サービス ポリシーによってイネーブルになるレイヤ 3/4 ポリシー マップにより有効になります。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを 1 度入力すると、再入力しなくてもさまざまなサーバで各種のセキュアなサービスにアクセスできます。最初に sso-server コマンドを使用して SSO サーバを作成します。次に、 policy-server-secret コマンドを使用することにより、セキュリティ アプライアンスと SSO サーバ間の認証通信が保証されます。

コマンド引数、 secret-key はパスワードと同様に作成、保存、および設定が可能です。秘密鍵は、セキュリティ アプライアンスでは policy-server-secret コマンドを使用して設定され、SiteMinder Policy Server では Cisco Java プラグイン認証スキームを使用して設定されます。

現在、セキュリティ アプライアンスは、Computer Associates の eTrust SiteMinder SSO サーバ（以前の Netegrity SiteMinder）をサポートしています。

例

次のコマンドは、webvpn-sso-siteminder コンフィギュレーション モードで入力され、ランダムな文字列を引数として含んでいます。このコマンドにより、SSO サーバの認証通信用の秘密鍵が作成されます。